DHCP inschakelen of niet

[pwr]

schakelt men bij een Wifi-router niet beter de DHCP uit ?

dit als bijkomende beveiliging om te vermijden dat er een andere pc zich ongeoorloofd gaat aanmelden op het draadloos netwerk.

uiteraard moeten dan de rechtmatige gebruikers handmatig IP-adressen worden toegewezen tesamen met de DNS-servers (voor het internetgebruik) maar op zich is dit toch geen probleem.

Welk intern IP-adres gebruikt men dan best voor de router > een niet zo voor de hand liggend of kan dit problemen geven voor de goede werking van het netwerk en de snelheid van het internet ?

[Gast]

Beste,

Dat is tezien hé. Als je gemakkelijk met je laptop thuis wilt werken en op werk of ergens anders, zonder dat je een appart proggie moet installeren of telkens zelf die instellingen van je netwerkkaart wit wijzigen kies je voor dhcp. Hier bij mij komt de dhcp van een linuxbak en daar kan je kiezn om enkel die mac-adressen een ip te geven. Als je al een betere beveiliging gekozen hebt voor je wifi-netwerk is het ook minder noodzakelijk om via een vast ip te werken, vast ip werkt normaal sneller denk ik omdat het ip niet steeds wijzigt, logisch. Maar met dhcp moet het ook nog zeer snel werken ze.

Mvg,

Kikker46

[SIR]

vast ip werkt normaal sneller denk ik omdat het ip niet steeds wijzigt, logisch.

Zou dat veel sneller zijn, je krijgt toch niet constant een nieuw IP-adres.
Enkel bij linken aan het netwerk zal de DHCP server je een IP-adres geven.

[Polleke]

Bij zowat elke DHCP-server kan je de IP's koppelen aan het MAC-adres van de aangesloten netwerkkaart. Lukt bij windows 2003-server (daar zijn dat reservaties) of bij mijn USR (8000A) routertje (daar heet dat fixed mapping). Heb je dus echt linux niet voor nodig

Wat dat IP-adres zelf betreft : veel "vrije" keuze heb je eigenlijk niet. Er zijn maar een beperkt aantal ranges beschikbaar voor interne netwerken : de 10.x.x.x (dus daar keuze genoeg...) of de 192.168.0.x die voor kleine netwerken het meest gebruikt wordt.
Langs deze weg beveiligen is toch redelijk zinloos, dat gateway-adres van je router zullen de cracks echt wel vinden hoor...

Of je statische IP's of DHCP gebruikt kies je gewoon zelf : voor kleine (thuis)netwerken gebruik ik gewoon statische IP's, dan weet je tenminste wat er gebeurt en het werkt inderdaad iets sneller, voor grotere netwerken is dat gewoon niet werkbaar, en ben je quasi verplicht om DHCP te gebruiken. Denk echt niet dat "veiligheid" daar veel mee te maken heeft.

Wat je eventueel wel zou kunnen doen is spelen met de subnetmask, en die aanpassen dat er bv. maar plaats is voor bv. 3 PC's en je router, maar moet eerlijk zeggen dat ik me daar nog nooit mee bezig heb gehouden.

[ubremoved_539]

DHCP laat gewoon toe dat de configuratie eenvoudiger loopt, maar beperkt op zich niets. Het zal een hacker dan ook niet verhinderen gebruik te maken van je WIFI netwerk.

Wil je een goede WIFI beveiliging dan zorg je gewoon dat je WPA actief hebt, of evenuteel WEP (als is dit niet 100% veilig). De informatie die je nodig hebt om alle overige beveiligingen te omzeilen vliegt namelijk gewoon door de lucht (subnets, gateways, MAC-adressen, IP-adressen).

En zoals iemand anders al schreef... vast of dynamisch IP-adres heeft niets met snelheid te maken.

[kikker46]

Voor Wifi neem ik hier thuis AES, ik heb eens gelezen dat dat beter is dan die TKIP, natuurlijk als ge WPA2 kunt nemen zoveel te beter .

Niet iedereen heeft nen laatsten nieuwen router / een duur toestel waar ge kunt instellen dat die dhcp aan mac-adressen moet koppelen ze.

't zit hem vooral of ge veel met een van jouw pc's naar een andere hotspot iedere dag moet gaan of nie, (bij een verkoper mss iedere dag nen anderen hotspot van een ander bedrijf) en of dat die andere hotspot of access point dhcp of vast heeft.

Mvg,

Kikker46

[Polleke]

Een dure router nodig voor DHCP : mijn USR routerke heb ik nu een dik jaar, en kostte 69 € met ingebouwde 4 poort switch... Enorme investering moet ik zeggen...
Windows 2003 server zou ik er nu direct ook niet voor gaan kopen

[meon]

Mja, WEP is voor thuisgebruik nog wel voloende, je gaat nooit genoeg traffiek genereren om genoeg 'interesting packets' te vinden om de key te breken. Natuurlijk, als het je buur is en je alle tijd hebt, _kan_ het natuurlijk wel ...

[Sasuke]

Eén van de beste methodes om beetje secure te zijn is nog altijd om te werken met MAC filtering op de Wireless Association. Bijna elke WiFi router ondersteunt dit, en dit zorgt ervoor dat enkel WiFi nics met een gekend MAC adres kunnen associaten met uw WiFi accesspoint. Een mac adres is natuurlijk te spoofen, maar dan moeten ze ook wel weten welk adres ze moeten spoofen, en dat lijkt me nogal moeilijk om te weten te komen.

Als je dan bijvoorbeeld nog even WPA gebruikt bovenop die MAC filter heb je zowat de beste beveiliging die je kan hebben voor SoHo gebruik. Al dit is mogelijk met elke WPA-enabled router, bijvoorbeeld de USR WiFi reeks welke zeer goedkoop zijn eigenlijk.

Mvg,

Sasuke

[ubremoved_539]

Eén van de beste methodes om beetje secure te zijn is nog altijd om te werken met MAC filtering op de Wireless Association. Bijna elke WiFi router ondersteunt dit, en dit zorgt ervoor dat enkel WiFi nics met een gekend MAC adres kunnen associaten met uw WiFi accesspoint. Een mac adres is natuurlijk te spoofen, maar dan moeten ze ook wel weten welk adres ze moeten spoofen, en dat lijkt me nogal moeilijk om te weten te komen.

MAC filtering is gewoon zinloos... als men dan toch je WIFI verbinding snift (om je WEP eerst te kraken) ziet men je MAC adres toch zo in het rond vliegen.

WPA is de enige veilige mode op dit moment (of beter nog een VPN tunnel over iedere WIFI verbinging draaien, maar da's niet evident bij thuis gebruik).

[The_Borg]

Amaai, ben ik gelukkig met een 100 Mbps wired netwerk. Ik moet niet van draadloos weten, het is traag, onveilig en ik krijg verschrikkelijk koppijn in het school als ik met laptop op het wireless ga .

Wat die onveiligheid betreft, waarom is iedereen zo geobsedeerd daar over? Als of een hacker zich in een busje een dagje gaat parkeren voor je deur, om dan je wireless af te tappen :/. Of nog erger, stel dat "Gérard den buurman" hem ook wifi aanschaft. Stel dat hij je mac adres te weten komt en toch op jouw netwerk geraakt met ultrageheime files, door eerst je firewall te hacken. Oh neeeeeeeeen .

[Sasuke]

TheBorg,

En wat als Gerard den buurman op uw netwerk zit, en allemaal dingen download én jij daardoor serieus over je limiet gaat? Is dat dan leuk ? Of dat diezelfde hacker vanuit z'n buske even jouw onbeveiligde connectie gebruikt om te converseren naar z'n Al-Qaeda confraters of even snel wat kinderporno download ... lijkt me dat niet reden genoeg om je draadloos netwerk toch een beetje te beveiligen ?

Grtz,

Sasuke

[pwr]

Eén van de beste methodes om beetje secure te zijn is nog altijd om te werken met MAC filtering op de Wireless Association.

heb deze mac-filtering geactiveerd en werkt perfect voor pc's die rechtstreeks (met een draadloze netwerkkaart of een usb-adapter) aanmelden bij de router.

nu probeer ik ook een bedraad lan dat via een accespoint in client-mode draadloos verbinding maakt met de router, te integreren.
heb in de lijst met toegestane mac's het mac-adres van het AP ingevuld en vervolgens de mac's van de individuele pc's die connecten met het AP via utp-kabel.
deze pc's verliezen de verbinding op het moment dat ik de mac-filtering activeer.

zie ik iets over het hoofd ??

dank bij voorbaat

[ubremoved_539]

nu probeer ik ook een bedraad lan dat via een accespoint in client-mode draadloos verbinding maakt met de router, te integreren.

Euh... kan niet meer volgen. Je had een wireless router, en de MAC filtering daarop werkt prima voor je wireless PCs.

En dat bedraad LAN... komt dit op dezelfde router terecht, of spreken we hier over een ander AP ?

Enfin, feit is dat MAC-adressen steeds lokaal zijn (achter een router is het MAC adres dus niet meer bekend, en krijg je dit van de router zelf).

[pwr]

inderdaad een wireless router waar zowel wireless pc's worden aangemeld én tegelijkertijd een AP wordt aangemeld dat dienst doet om een LAN wireless te verbinden met de router.

elke pc van dat LAN individueel wireless connecten gaat niet wegens te ver in afstand.
het AP staat op een plaats waar er goede verbinding is met de wireless router.

bedoeling was nu in de router de mac-filtering te gebruiken voor zowel de direct (wireless) aangemelde pc's als voor pc's uit het LAN die verbinding maken via het AP met de router...

hopelijk is het bij deze wat duidelijker ?

[ubremoved_539]

Het is duidelijk nu.

Feit is dat je in iedere router/AP enkel de MAC adressen moet ingeven van de toestellen die er rechtstreeks mee verbonden zijn (de rest is gewoon zinloos om de reden die ik hierboven schreef).

Als je dus op je hoofdrouter het MAC adres ingeeft van je tweede AP is dit voldoende (welke PC's erachter hangen maakt voor je hoofdrouter niet uit).

Aangezien je echter schrijft...

heb in de lijst met toegestane mac's het mac-adres van het AP ingevuld

... lijkt mij dit in orde. Ben je zeker dat je geen typfout hebt gemaakt, of het verkeerde MAC adres gebruikt om in te geven op je hoofdrouter/AP.

[pwr]

Ben je zeker dat je geen typfout hebt gemaakt, of het verkeerde MAC adres gebruikt om in te geven op je hoofdrouter/AP.

wel, een typfout sluit ik uit omdat ik in het menu van de router de knop "clone mac-adres" heb gebruikt uit de lijst met de aangemelde toestellen.

daar vind ik eveneens de mac-adressen terug van de pc's uit het LAN die via het AP (het AP in klant-mode,niet het AP van de router) een IP-adres krijgen van de DHCP van de router > deze worden dan door de router toch aanzien als lokale toestellen of sla ik de bal mis ? ...

[ubremoved_539]

wel, een typfout sluit ik uit omdat ik in het menu van de router de knop "clone mac-adres" heb gebruikt uit de lijst met de aangemelde toestellen.

Het clonen is normaal voor een LAN MAC adres over te nemen naar een WAN MAC adres. Ik zie niet echt goed in waarom je dit wil doen, en wat dit trouwens te maken heeft met MAC filtering. Het is op je hoofdrouter dat je manueel het MAC adres moet ingeven van je tweede AP... clonen kan hier volgens mij niets helpen.

daar vind ik eveneens de mac-adressen terug van de pc's uit het LAN die via het AP (het AP in klant-mode,niet het AP van de router) een IP-adres krijgen van de DHCP van de router > deze worden dan door de router toch aanzien als lokale toestellen of sla ik de bal mis ? ...

Een router (je tweede AP in dit geval) vervangt steeds het MAC adres van zijn clients door zijn eigen MAC adres. Je kan dus op je hoofd AP normaal gezien nooit een MAC adres zien van de PC's aangesloten op je tweede AP.

Nu je tweede AP... je spreekt altijd van client mode... maar staat deze niet in bridge mode (en dan krijg je waarschijnlijk wel de MAC adressen door van zijn clients). Enfin, voor zover ik begreep had je zowel het AP zijn MAC (maar in bridging zo dit er dan weer geen hebben ?) als de clients hun MAC adres hebben ingegeven.

[pwr]

Het clonen is normaal voor een LAN MAC adres over te nemen naar een WAN MAC adres. Ik zie niet echt goed in waarom je dit wil doen, en wat dit trouwens te maken heeft met MAC filtering.

@r2504 : volgens mij heeft het clonen er toch mee te maken > zie attachement

wanneer ik op het pijltje links van de knop "clone" druk verschijnt er een lijst met alle door de router gekende mac's
wanneer ik in die lijst er één selecteer en ik druk dan op clone + apply dan verschijnt het juist geselecteerde mac-adres in de lijst (MAC filter list) onderaan
zo heb ik alle gekende mac's in die lijst geplaatst maar wanneer ik dan de mac-filtering activeer werken de pc's die verbinding maken met het AP van de router via het tweede AP niet meer.
de pc's die rechtstreeks verbinding maken met het AP van de router blijven werken...


met dank aan SeNsEi ZeOn voor de verbetering van het foutje bij de quota's waardoor ik geen attachements kon bijvoegen

[ubremoved_539]

@r2504 : volgens mij heeft het clonen er toch mee te maken > zie attachement

Ah, nu is het duidelijk... de clone is geen clone... maar louter een "Add".

Het is dus gewoon een eenvoudige manier om je MAC adres in de lijst te krijgen zonder dat je het manueel moet intypen. Het heeft dus niets te maken met een bepaalde interface het betreffende MAC adres te geven.

Nu is de vraag nog steeds wat je andere router ziet... krijgt deze het MAC adres van je remote router te zien, of van zijn clients. Kan je op je hoofdrouter niet zien wat hij binnen krijgt aan MAC adressen, dan is het een kwestie van daar de correcte filtering in te stellen.

[pwr]

... de clone is geen clone...

what's in a name ...

Nu is de vraag nog steeds wat je andere router ziet...

de router (hoofdrouter ? >> heb een router met AP zijnde de D-Link DI-624 van op het screenshot en het tweede AP zonder router) ziet dus inderdaad de mac's van de client's die zijn aangemeld op het tweede AP zonder ingebouwde router.
de router ziet eveneens het mac-adres van het tweede AP waar deze client's zijn op aangemeld

een kwestie van daar de correcte filtering in te stellen

dat is nu juist mijn probleem > als alle mac's van iedere pc én van het tweede AP in die lijst zijn opgenomen moét dit toch werken ???

in ieder geval al bedankt voor het meedenken.